O ransomware LockBit retorna aos ataques com novos criptografadores e servidores
29 de Fevereiro de 2024

A gangue de ransomware LockBit está mais uma vez realizando ataques, usando criptógrafos atualizados com notas de resgate que se conectam a novos servidores após a interrupção da aplicação da lei na última semana.

Na última semana, a NCA, FBI e a Europol realizaram uma interrupção coordenada denominada 'Operação Cronos' contra a operação de ransomware do LockBit.

Como parte desta operação, as autoridades apreenderam a infraestrutura, recuperaram os decodificadores e, num constrangedor momento para o LockBit, transformaram o site de vazamento de dados da gangue em um portal de imprensa da polícia.

Logo em seguida, o LockBit configurou um novo site de vazamento de dados e deixou uma longa nota endereçada ao FBI, alegando que as autoridades invadiram seus servidores utilizando uma falha do PHP.

No entanto, em vez de mudar de marca, eles prometeram retornar com uma infraestrutura atualizada e novos mecanismos de segurança para prevenir que a aplicação da lei realize ataques em toda a operação e obtenha acesso aos decodificadores.

A partir de ontem, o LockBit parece estar realizando ataques novamente, com novos criptógrafos e configuração de infraestrutura para sites de vazamento de dados e negociação.

Conforme relatado inicialmente pela Zscaler, a gangue de ransomware atualizou as notas de resgate de seus criptógrafos com URLs do Tor para a nova infraestrutura da gangue.

A BleepingComputer encontrou mais tarde amostras dos criptógrafos enviadas ao VirusTotal ontem [Amostra] (compartilhada pela MalwareHunterTeam) e hoje [Amostra], contendo as notas de resgate atualizadas.

A BleepingComputer também confirmou que os servidores de negociação da operação estão ativos novamente, mas funcionam apenas para as vítimas de novos ataques.

No momento da desativação do LockBit, a operação de ransomware tinha aproximadamente 180 afiliados trabalhando com eles para realizar ataques.

Não se sabe quantos ainda estão trabalhando com o Ransomware-como-serviço, já que um deles criticou publicamente a operação no X.

No entanto, o LockBit afirma que está agora recrutando pentesters experientes para se juntar novamente à sua operação, o que provavelmente levará a um aumento dos ataques no futuro.

Se isso é um grande plano para o LockBit desaparecer lentamente e mudar de marca, como vimos com o Conti, ainda está para ser visto.

Por enquanto, no entanto, é mais seguro supor que o LockBit continua sendo uma ameaça.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...